Windows系统被入侵后安全取证方法

发布时间：2013-03-22 15:32:16作者：知识屋

1.记录当前时间

dos命令:dat /t & time /t

2.记录登录的用户session
dos 命令:net sessions
工具:Psloggedon.exe Logonsessions.exe

3.记录打开的文件
dos 命令:net file
工具:psfile.exe open?les.exe
其它:查看文件打开历史记录

4.网络信息(netbios cache)
dos命令:nbtstat -c
nbtstat -A remoteip

5.网络当前连接状态
dos命令:netstat -ano

6.当前进程状态
工具:进程管理器

tlist.exe(tlist -m xxx.dll) tasklist.exe pslist.exe listdll.exe processhacker.exe processexplorer.exe
关注点:进程内存模块，进程端口映射

7.网络
dos命令:ipconfig /all

8.剪贴板内容
找个word,直接粘贴
工具:Win32::Clipboard()->Get()

7.服务和驱动信息
工具:svc.exe
关注点:服务的异常,异常的驱动

8.dos命令历史记录
工具:doskey.exe (doskey /history)

9.驱动器映射
工具:di.exe

10.共享
关注点:

HKEY_LOCAL_MACHINESystemCurrentControlSetServiceslanmanserverShares
net share

11.自动运行
启动文件夹

HKLMSoftwareMicrosoftWindows NTCurrentVersionWindowsAppInit_DLL
HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindowsload
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonUserinit
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServicesOnce
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServicesHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnceSetupHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceSetup
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceEx
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareClassesExe?leShellOpencommand

特殊情况:服务劫持,异常服务,pe注入,DLL动持等等,部分内存木马启动后删除自启动，需用到内存分析。
查看扩展劫持:ftype.exe exefile
工具:autorun.exe

12.系统日志
工具:psloglist.exe dumpevt.exe

13.浏览器历史记录,和浏览器配置（如自动完成功能被打开,代理等)

14.文件创建
利用windows搜索入侵期间的文件创建。

15.进程内存DUMP和DUMP文件分析
lspm.pl+bintext3.0
建议直接用processhacker.exe

16.注册表分析点

HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonNotify
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution
Options
HKEY_LOCAL_MACHINESystemCurrentControlSetEnumUSBSTOR
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlDeviceClasses
HKEY_LOCAL_MACHINESystemMountedDevices
SoftwareMicrosoftWindowsCurrentVersionExplorerRecentDocs
SoftwareMicrosoftWindowsCurrentVersionExplorerRunMRU
SoftwareMicrosoftInternet ExplorerTypedURLs
SoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32OpenSaveMRU
SoftwareMicrosoftWindowsCurrentVersionExplorerFileExts
SoftwareMicrosoftSearch AssistantACMru
SoftwareMicrosoftWindowsCurrentVersionExplorerMap Network Drive MRU
SoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2
SoftwareMicrosoftWindowsCurrentVersionExplorerComputerDescription
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion
SystemRestore

16.系统安全日志
工具:Vista Event Viewer
HKEY_LOCAL_MACHINESystemControlSet00xServicesEventLog
dos命令:wevtutil el(查看记录的日志 wevtutil gl logname)

17.IISLOG 或 ApacheLog
iislog:W3SVCn,
apachelog:http.conf中定义(LOGS目录)

18.软件安装日志
Setuplog.txt Setupact.log SetupAPI.log Netsetup.log

19.计划任务日志
HKEY_LOCAL_MACHINESOFTWAREMicrosoftSchedulingAgent

20.XP Firewall Logs

21.华生医生日志
C:Documents and SettingsAll UsersApplication DataMicrosoftDr Watson
HKEY_LOCAL_MACHINESOFTWAREMicrosoftDrWatson

22.crash dump 文件
dump文件+BinText.exe

23.回收站

24.PE分析
bintext.exe 打开
PELOAD/PEVIEW 分析(关注,IAT表）
PEID 查壳
检查PE是否被BIND

其它:虚拟机动态调试（OD）
Dumpbin查看API调用等

25.rootkit
工具:icesword.exe Helios

26.hostfile是否被改
driver/etc/hosts